如何通過一個簡單的漏洞查看Facebook所有聊天信息？

安全研究員在Facebook Messenger上發現了一個比較嚴重的漏洞，可以允許攻擊者查看所有的隱私聊天記錄，預估這一漏洞將影響近10億Messenger用戶。

Ysrael Gurt，一位來自BugSec 和Cynet的安全研究員，在Facebook Messenger上發現了一個跨域繞過攻擊（cross-origin bypass-attack）漏洞，可允許攻擊者查看你的私人信息、以及通過Facebook Messenger發送的照片和附件。

如果要成功利用這個漏洞，攻擊者需要誘騙受害者訪問一個惡意網站上，並且只要受害者訪問惡意網站就足夠了，足以完成攻擊過程。一旦受害者點開了惡意網站，受害者在Facebook上的聊天信息（無論是移動APP還是網頁）就全部暴露給了攻擊者。

攻擊詳情

這個漏洞不僅會影響網頁版的Facebook Messenger，還會影響移動APP版的Facebook Messenger。Ysrael Gurt已經將這一漏洞命名為了Originull，Facebook Messenger是託管在一個位於{number}http://-edge-chat.facebook.com的伺服器上，和Facebook真正的域名（http://www.facebook.com）是有區別的。

JavaScript和伺服器之間的通信是通過XML HTTP請求(XHR)完成的。為了訪問http://5-edge-chat.facebook.com的數據，Facebook必須添加Access-Control-Allow-Origin頭部至caller』s origin，並且Access-Control-Allow-Credentials頭部的值要設置為true，這樣的話就能查看所有的信息了。

跨域頭部工具配置有誤

真正的原因是Facebook聊天伺服器域名的跨域頭部工具配置有誤，攻擊者可以以此繞過域名檢查，從外網訪問Facebook的聊天信息。但是，對於secret conversation 聊天模式（也就是Facebook Messenger的端對端加密聊天功能）不受該漏洞的影響。

BugSec的首席技術官Stas Volfus表示：

這是一個非常嚴重的安全問題，不僅僅是因為受害人群比較廣，還有一個更為嚴重的方面，即使受害者用另外一台電腦或者手機發送信息，攻擊者同樣能查看其發送的信息。

Ysrael Gurt是在Facebook發起的漏洞獎金計劃項目中發現的這一漏洞，Facebook的安全團隊已經知曉該漏洞的存在，並且也已經修復。

註：本文參考來源於thehackernews

推薦閱讀：